Detail publikace

Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks

HOMOLIAK, I.; ŠULÁK, L.; HANÁČEK, P. Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks. In Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers. Lecture Notes in Computer Science. Lecture Notes in Computer Science. Jeju Island: Springer International Publishing, 2017. p. 66-78. ISBN: 978-3-319-56549-1. ISSN: 0302-9743.

Název česky

Anomální Behaviorální Analýza Nespojově Orientovaných Síťových Útoků Prováděných Prostřednictvím Zneužití Zranitelností Přetečení Zásobníku

Typ

článek ve sborníku konference

Jazyk

anglicky

Autoři

Homoliak Ivan, doc. Ing., Ph.D. (UITS)
Šulák Ladislav, Ing.
Hanáček Petr, doc. Dr. Ing. (UITS)

URL

https://link.springer.com/chapter/10.1007%2F978-3-319-56549-1_6

Klíčová slova

Buffer overflow, Connectionless traffic, SIP, TFTP, UDP vulnerabilities, NBAD, Naive Bayes

Abstrakt

Buffer Overflow (BO) útoky jsou jedny z největších hrozebv oblasti bezpečnosti počítačových sítí. Metody detekce BO útoků obvyklepoužívají jeden ze dvou přístupů: analýza na základě porovnání signaturs obsahem paketů versus analýza hlaviček paketů s behaviorálníanalýzou toku dat. Druhý přístup je zaměřen na detekci BO útoků bez ohledu naobsah paketu, jelikož ten může být zašifrován. V tomto článku navrhujemetechniku založenou na behaviorální detekci anomálií v síti (NBAD)zaměřenou na nespojovaně-orientovanou komunikaci. Podobného přístupu byloužito již v předešlých pracích, ty však byly zaměřeny na komunikaci spojovaně-orinetovanou.Ne všechny principy NBAD pro spojovaně-orinetovanou komunikaci lze přenést nakomunikaci nespojovaně-orinetovanou. Zde je tak navržena množina diskriminujícíchrysů popisující chování BO útoků v nespojovaně-orinetované komunikaci a implementovánnástroj pro jejich offline extrakci ze zachyceného komunikačního provozu. Dále popisujemeshromažďování dat provedené ve virtualizovaném síťovém prostředí s užitím exploitůpro SIP a TFTP služby, následované experimenty s technikami pro dolovánídat využívající strojového učení s učitelem (ML) a Naivní Bayesovský klasifikátor. Zneužitízranitelností služeb je provedeno modifikací síťového provozu se záměremsimulovat reálné podmínky v síti. Výsledky experimentů ukazují, ženavržený přístup je schopen rozlišit BO útoky od legitimního síťového provozus vysokou přesností a odezvou klasifikace.

Rok

2017

Strany

66–78

Časopis

Lecture Notes in Computer Science, roč. 10144, č. 1, ISSN 0302-9743

Sborník

Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers

Řada

Lecture Notes in Computer Science

Konference

The 17th World Conference on Information Security Applications, Jeju Island, South Korea, KR

ISBN

978-3-319-56549-1

Vydavatel

Springer International Publishing

Místo

Jeju Island

DOI

10.1007/978-3-319-56549-1_6

UT WoS

000426125100006

EID Scopus

2-s2.0-85017660421

BibTeX

@inproceedings{BUT134712,
  author="Ivan {Homoliak} and Ladislav {Šulák} and Petr {Hanáček}",
  title="Features for Behavioral Anomaly Detection of Connectionless Network Buffer Overflow Attacks",
  booktitle="Information Security Applications - 17th International Workshop, WISA 2016, Jeju Island, Korea, August 25-27, 2016, Revised Selected Papers",
  year="2017",
  series="Lecture Notes in Computer Science",
  journal="Lecture Notes in Computer Science",
  volume="10144",
  number="1",
  pages="66--78",
  publisher="Springer International Publishing",
  address="Jeju Island",
  doi="10.1007/978-3-319-56549-1\{_}6",
  isbn="978-3-319-56549-1",
  issn="0302-9743",
  url="https://link.springer.com/chapter/10.1007%2F978-3-319-56549-1_6"
}

Soubory

pdf WISA-camera-ready.pdf 297 kB